Boa parte das empresas em todo o mundo foram impactadas por interrupções generalizadas em servidores e estações de trabalho Windows, decorrente de uma atualização incorreta disponibilizada pela empresa de segurança Crowdstrike.
“A Crowdstrike está trabalhando ativamente com clientes que foram afetados por conta de um defeito encontrado emuma única atualização para hosts Windows“, disse o CEO da empresa, George Kurtz, em um comunicado. “Os hosts Mac e Linux não foram impactados. Isto não é um incidente de segurança ou ataque cibernético“.
A empresa reconheceu os diversos relatos de “telas azuis da morte” em hosts Windows, e disse ainda que identificou o problema e uma correção já foi implementada para seus produtos Falcon Sensor, onde pede aos clientes que consultem o portal de suporte para obter as atualizações mais recentes.
Quem foi impactado
É importante notar que a interrupção também afetou o Google Cloud Compute Engine, fazendo com que as máquinas virtuais do Windows que usam o csagent.sys da CrowdStrike travassem e entrassem em um estado reinicialização inesperado.
“Após receber automaticamente um patch defeituoso do CrowdStrike, as VMs do Windows travam e não podem ser reinicializadas”, afirma a empresa. “As VMs do Windows que estão atualmente em funcionamento não devem mais ser impactadas”.
O Microsoft Azure também publicou uma atualização semelhante, afirmando que “recebeu relatórios de recuperação bem-sucedida de alguns clientes que tentaram várias operações de reinicialização de máquinas virtuais em máquinas impactadas” e que “várias reinicializações (até 15 foram relatadas) podem ser necessárias”.
A AWS (Amazon Web Services) disse que tomou medidas para mitigar o problema para o maior número possível de instâncias do Windows, Windows Workspaces e sistemas Appstream, recomendando aos clientes que “tomasse medidas para restaurar a conectividade”.
Empresas aéreas, instituições financeiras, de alimento e redes de varejo, hospitais, hotéis, empresas de mídia, redes ferroviárias e empresas de telecomunicações estão entre as muitas empresas impactadas. As ações da Crowstrike despencaram 15% nas negociações de pré-mercado (horário antes da abertura do horário normal da Bolsa de Valolres) nos EUA.
Instruções de mitigação
Para sistemas que foram impactados pelo problema, as instruções de mitigação são as seguintes:
- Inicialize o Windows no Modo de Segurança ou Ambiente de Recuperação do Windows
- Navegue até o diretório C:\Windows\System32\drivers\CrowdStrike
- Encontre o arquivo chamado “C-00000291*.sys” (que comecem com C-00000291 e terminem em .sys)
- Reinicie o sistema ou servidor normalmente
“Este é um produto que funciona com altos privilégios de usuário para proteger os endpoints. Um mau funcionamento pode, como estamos vendo, causar falha no sistema operacional“, disse Omer Grossman, diretor de informação (CIO) da CyberArk.
Créditos:
https://thehackernews.com/2024/07/faulty-crowdstrike-update-crashes.html
Créditos da imagem usada na capa do post:
https://www.newsweek.com/blue-screen-death-microsoft-outage-latest-update-1927510